Embed Size (px)
Citation preview
1
Zmiany w normie ISO 19011
Tomasz Kloze
Polskie Centrum Badań i Certyfikacji S. A.
Jak powstawała nowa ISO 19011
• Styczeń 2007 – początek formalnego
procesu przeglądu normy ISO 19011
• Sformułowanie podstawowych
kwestii, które powinny być
rozstrzygnięte przed uruchomieniem
procedury nowelizacji normy
2
Zakres normy
• Audity strony pierwszej
• Audity strony drugiej - ?
• Audity strony trzeciej - ? ?
• Auditowanie systemów
zarządzania jakością,
zarządzania środowiskiem, . . . ?
Założenia podstawowe
• Norma ISO 19011 ma zawierać ogólne
wytyczne do auditowania różnych
systemów zarządzania (poza audytami
finansowymi), w związku z czym w
pracach uczestniczyć będą
przedstawiciele innych grup roboczych.
3
ISO 19011:2011 – Wytyczne
dotyczące auditowania systemów
zarządzania
Tekst drugiego wydania normy
ISO 19011 został opracowany w
podkomitecie ISO/TC 176/SC 3
Daty opublikowania
• ISO 19011:2011 – opublikowana 15
listopada 2011 roku
• PN-EN ISO 19011:2012 – wprowadzona
metodą noty uznaniowej (w języku
angielskim) – luty 2012
• PN-ISO/IEC 19011 – wersja
polskojęzyczna – koniec listopada br.
4
Wprowadzenie
Drugie wydanie normy ISO 19011
koncentruje się na auditach pierwszej i
drugiej strony, ale zawarte w niej
wytyczne mogą okazać się przydatne,
jako uzupełnienie do wymagań zawartych
w ISO/IEC 17021:2011, podczas auditów
przeprowadzanych przez trzecią stronę.
• Wprowadzono pojęcie ryzyka
związanego z procesem auditowania
systemu zarządzania.
• Odniesiono się do ryzyka związanego
z możliwością nie osiągnięcia celów
auditu oraz z możliwością zakłócenia
działań i procesów auditowanego.
• Nie podano szczegółowych
wytycznych dotyczących procesu
zarządzania ryzykiem.
5
Terminy i definicje
Nie nastąpiła znacząca zmiana w zakresie
terminologii, ale wprowadzono szereg
modyfikacji lub uzupełnień, które mogą
okazać się pomocne we właściwym
odczytaniu zawartych w normie wytycznych.
Ustalenia z auditu - wyniki oceny
zebranych dowodów z auditu w stosunku
do kryteriów auditu.
Rozbudowano uwagi do powyższej
definicji, które sprowadzają się do
stwierdzenia, że ustalenia z auditu mogą
wskazywać na zgodność, niezgodność,
możliwość doskonalenia lub rejestracji
dobrych praktyk.
6
Auditor – osoba, która przeprowadza audit.
Usunięto – mająca wykazane cechy osobowości i
kompetencje do przeprowadzenia auditu
Kompetencje – zdolność wykorzystania
wiedzy i umiejętności do osiągania
zamierzonych wyników.
UWAGA Umiejętności obejmują stosowanie
odpowiednich postaw i zachowań w trakcie
procesu auditowania
Ryzyko – wpływ niepewności na cele.
(patrz ISO Guide 73:2009)
Zgodność – spełnienie wymagań.
Niezgodność – niespełnienie
wymagań.
7
Zasady auditowania
Dzięki przestrzeganiu tych zasad audit jest
wiarygodnym i efektywnym narzędziem
dostarczającym informacji służących do
doskonalenia funkcjonowania organizacji.
Przestrzeganie zasad jest niezbędne do
zapewnienia, że wnioski z auditu są właściwe
i wystarczające oraz że auditorzy pracujący
niezależnie sformułują w podobnych
sytuacjach podobne wnioski.
Zmodyfikowano sposób sformułowania
dotychczasowych pięciu zasad
dotyczących auditowania, a także
wprowadzono istotne uzupełnienie w
postaci dodatkowej, szóstej zasady.
8
Prawość i uczciwość - podstawa
profesjonalizmu
Auditorzy i zarządzający programem auditów powinni:
• wykonywać swoją pracę uczciwie, rzetelnie i w
sposób odpowiedzialny;
• działać zgodnie z obowiązującymi przepisami i
wykazać kompetencje w zakresie swych zadań;
• zachować bezstronność;
• być wyczuleni na wszelkie wpływy mogące mieć
wpływ na wyniki przeprowadzanej oceny.
Rzetelna prezentacja - obowiązek
przedstawiania spraw dokładnie i zgodnie z
prawdą.
Ustalenia i wnioski z auditu oraz raporty z auditu
powinny przedstawiać działania auditowe
dokładnie i zgodnie z prawdą. Znaczące
przeszkody napotkane podczas auditu oraz
nierozstrzygnięte lub rozbieżne opinie pomiędzy
auditorami a auditowanym powinny być
odzwierciedlone w raporcie wiernie, dokładnie,
terminowo i w sposób kompletny.
9
Należyta staranność zawodowa -
pracowitość i rozsądek w auditowaniu.
Auditorzy powinni wykazać staranność
odpowiednią do wagi wykonywanych zadań
oraz do zaufania, jakim obdarzyli ich klienci
auditu i inne strony zainteresowane.
Ważnym czynnikiem jest ich zdolność do
prowadzenia rozsądnej oceny we wszystkich
sytuacjach auditowych.
Poufność – zapewnienie bezpieczeństwa
informacji.
Auditorzy powinni w sposób roztropny i ostrożny
wykorzystywać i chronić informacje uzyskane
podczas realizacji swych zadań oraz nie
ujawniać ich bez odpowiedniego upoważnienia,
szczególnie w sposób szkodzący
auditowanemu.
Dotyczy to w szczególności informacji
wrażliwych i poufnych.
10
Niezależność - podstawa bezstronności i
obiektywności wniosków z auditu.
Auditorzy powinni być niezależni od auditowanych
działań oraz wolni od uprzedzeń i konfliktu
interesów. Powinni wykazać obiektywizm podczas
całego procesu auditu, aby zapewnić, że ustalenia
i wnioski z auditu oparte są wyłącznie na
dowodach z auditu.
Podczas auditów wewnętrznych powinni być
niezależni od kierowników auditowanych
obszarów.
Podejście oparte na dowodach - racjonalna metoda uzyskiwania wiarygodnych i
odtwarzalnych wniosków z auditu w
systematycznym procesie auditu
Dowody z auditu powinny być weryfikowalne.
Powinny być oparte na próbkach dostępnych
informacji, gdyż audit prowadzony jest w
ograniczonym czasie przy użyciu ograniczonych
zasobów. Odpowiedni dobór próbki ma ścisły
związek z zaufaniem, jakim można obdarzyć
wnioski z auditu.
11
Zakres programu auditów powinien wynikać z
wielkości i charakteru auditowanej organizacji oraz
dojrzałości systemu zarządzania. Zasady
zarządzania programem powinny uwzględniać
podstawowe elementy systemu odnoszące się do
kluczowych cech wyrobu oraz zagrożeń pod
względem bezpieczeństwa i higieny pracy, a także
istotnych aspektów środowiskowych.
UWAGA Takie podejście jest zwykle nazywane
auditowaniem opartym na analizie ryzyka
związanego z auditem.
5.2 Ustalenie celów
programu auditów
5.3 Ustalenie programu
auditów
5.4 Wdrożenie programu
auditów
5.5 Monitorowanie
programu auditów
5.6. Przeglądy i
doskonalenie programu
auditów
7 Kompetencje i
ocena auditorów
6 Realizacja
auditów
12
Ustalenie programu auditów
Osoba zarządzająca programem
auditów powinna:
• ustalić zakres programu auditów;
• zidentyfikować i ocenić ryzyka
związane z programem;
Osoba odpowiedzialna za zarządzanie
programem auditów powinna rozważyć
ryzyka mogące mieć wpływ na realizację
programu auditów, a ryzyka mogą dotyczyć:
• planowania – nieprawidłowe określenie celów
i zakresu programu auditów;
• zasobów – zbyt krótki czas na realizację
programu lub poszczególnych auditów;
13
• doboru zespołu auditującego - brak
wystarczających kompetencji;
• wdrożenia - nieskuteczne informowanie o
programie auditów;
• nadzoru nad zapisami z auditów - błędy w
zakresie odpowiedniej ochrony zapisów
zawartych w raportach z auditów mających
wykazać skuteczność programu auditów;
• monitorowania realizacji programu - brak
skutecznego systemu monitorowania
wniosków z auditów.
Zarządzający programem auditów powinien
zapewnić, że wszystkie zapisy związane z
realizowanym programem auditów są
utrzymywane, z zapewnieniem ich poufności
w wymaganym zakresie.
Zapisy powinny obejmować, m.in.:
• zapisy dotyczące programu auditów (cele i
zakres programu, stwierdzone ryzyka, wyniki
przeglądów skuteczności programu);
14
Przegląd i doskonalenie programu auditów
Dane warte rozważenia:
• wyniki monitorowania i ewentualne trendy, w
tym zapisy z auditów;
• potrzeby i oczekiwania stron
zainteresowanych;
• nowe techniki auditowania;
• skuteczność sposobu oceny ryzyka
związanego z programem, w tym
zapewnienie poufności i bezpieczeństwa
informacji w zakresie programu auditów.
Ryzyko związane z auditem
Podczas opracowywania programu auditów należy brać pod uwagę fakty mogące utrudnić osiągnięcie celów i ocenić związane z tym ryzyko.
Wyniki takiej oceny należy uwzględniać podczas planowania procesów poszczególnych auditów.
15
Ocena ryzyka związanego z auditem powinna obejmować:
• Identyfikację zagrożeń
• Analizę ryzyka
• Ewaluację ryzyka
Identyfikacja zagrożeń – powinna obejmować te obszary działalności, funkcje i
procesy, gdzie istnieje potencjalne niebezpieczeństwo, że cele auditu mogą nie
być osiągnięte.
Przykładowe źródła zagrożeń mogą być następujące:
16
• Niewłaściwie określone cele auditu lub jego zakres
• Wystąpienie uprzedzeń lub konfliktu interesów w zespole auditującym
• Niewłaściwe metody i narzędzia auditu • Niewłaściwe metody oceny ryzyka • Wybór niereprezentatywnej próbki
auditowej • Niewystarczające kompetencje zespołu
auditującego • Niewystarczająca liczba auditorów
Analiza ryzyka – podstawa do oceny poziomu ryzyka i do podjęcia decyzji co do sposobu potraktowania ryzyka.
Analiza ryzyka obejmuje rozważenie przyczyn i źródeł ryzyka, potencjalnych konsekwencji i prawdopodobieństwa wystąpienia. Podstawę analizy stanowią wcześniejsze doświadczenia, znajomość zmian w sposobie funkcjonowania i inne dostępne informacje.
17
Ewaluacja ryzyka – wynik porównania ustalonego w wyniku analizy poziomu ryzyka związanego z auditem z kryteriami przyjętymi w wyniku rozważenia celów programu auditów.
Wynik porównania powinien być podstawą podejmowanych decyzji.
Dalsze wskazówki – norma ISO 31000
Jedna z ważniejszych zmian polega na umieszczeniu wskazówek praktycznych,
przedstawionych w ramkach w normie ISO 19011:2002,
a przeniesionych z pewnymi modyfikacjami, do załącznika B w normie ISO 19011:2011.
18
Przegląd dokumentacji – B.3
Czy informacje zawarte w dokumentach są:
• kompletne – obejmują wszystkie oczekiwane informacje;
• prawidłowe – zgodne z mającymi zastosowanie normami i przepisami;
• spójne – wewnętrznie i zewnętrznie;
• aktualne;
• obejmują auditowany zakres działalności i mogą być użyte do wsparcia dowodów z auditu;
• zawierają potrzebne ustalenia dotyczące dostępu i bezpieczeństwa.
Na podstawie informacji
uzyskanych podczas przeglądu
auditor wiodący przygotowuje
plan auditu - powinny w nim być
uwzględnione wyniki analizy
ryzyka związanego z działaniami
auditowanego (wyrobami,
usługami, personelem lub
infrastrukturą).
19
Planując audit należy uwzględnić ryzyko
związane z działaniami zespołu
auditującego:
• potencjalnymi zagrożeniami
związanymi z negatywnym wpływem na
bezpieczeństwo i higienę pracy,
środowisko i jakość;
• niezamierzonym wprowadzeniem
zagrożeń dla oferowanych wyrobów lub
usług, dla personelu i infrastruktury.
Przygotowanie dokumentów roboczych – B.4
Podczas przygotowywania dokumentów
roboczych warto odpowiedzieć sobie na
pytania:
• jakie zapisy zamierzamy zamieścić w danym
dokumencie;
• jakie działania auditowe będą związane z
danym dokumentem;
• kto będzie korzystał z danego dokumentu;
• jakich informacji będziemy potrzebować do
wypełnienia treścią danego dokumentu.
20
Próbka auditowa – B.3
Dowody z auditu są oparte na zbadaniu
próbki dostępnych informacji, gdyż generalnie
nie jest praktyczne ani efektywne zbadanie
wszystkich dostępnych informacji.
Badanie próbki polega na zbadaniu części
dostępnych przedmiotów oceny oraz ocenie
określonych cech całej populacji w celu
sformułowania wniosków odnoszących się do
całości zagadnienia.
Ryzyko z tym związane bierze się
stąd, że badana próbka może nie
być reprezentatywna dla całej
populacji, zatem wnioski auditora
mogą być inne niż te, które byłyby
wynikiem przebadania całej
populacji przedmiotów oceny.
21
Podczas określania sposobu badania próbki auditowej, warto uwzględniać, między innymi, następujące czynniki:
• Jaka powinna być liczność próbki?
• Czy wymagany jest określony poziom ufności?
• Czy określać próbkę na podstawie wcześniej
przygotowanego wzoru, czy na podstawie
badania zakłóceń danego procesu?
• Czy istnieją przepisy określające np. liczność lub
sposób pobierania próbki?
• Czy skupić się na wynikach określanych w
kategoriach TAK/NIE (metoda alternatywna)
czy określanych w sposób ciągły, np. 4,1;
4,15; 4,17 (metoda liczbowa)?
Można to podsumować,
czy doświadczenie i znajomość auditowanego obszaru czy statystyka ?
22
W odniesieniu do kwestii zawartości raportu z auditu warto wiedzieć, że w tym roku ukazał
się dokument
ISO/IEC TS 17022:2012 Ocena zgodności – Wymagania i zalecenia
dotyczące zawartości raportu z auditu systemów zarządzania przeprowadzanego
przez trzecią stronę
Kompetencje i ocena auditorów
Elementy składające się na kompetencje
auditora
Wiedza i umiejętności
Wykształcenie
Doświadczenie
zawodowe
Szkolenie
auditorskie
Praktyka
auditorska
Cechy osobowości
23
Proces oceny kompetencji auditora powinien
wynikać z programu auditów i obejmować:
• określenie poziomu kompetencji
wynikającego z potrzeb programu auditów;
• ustalenie kryteriów oceny;
• dobór odpowiednich metod oceny;
• przeprowadzenie oceny.
Postawy i zachowania - Cechy
osobowości
Auditor powinien być:
• . . . (tzn. bez zmian), a ponadto:
• rzetelny i odpowiedzialny nawet wtedy,
gdy taka postawa może doprowadzić do
nieporozumień lub konfrontacji;
24
• otwarty na doskonalenie, otwarty na
naukę płynącą z różnych sytuacji
auditowych w celu wykorzystania
nowych doświadczeń w swoich dalszych
działaniach;
• wyczuwający kulturę organizacji,
potrafiący ją zrozumieć i respektować;
• zorganizowany, potrafiący
współpracować z zespołem auditującym
i przedstawicielami auditowanego.
Dziękuję za uwagę
